Kitabı oku: «Compliance», sayfa 26
4. Grenzen der Wirksamkeitsprüfung
130
Die Wirksamkeitsprüfung (mit ihren beiden Vorstufen der Konzeptions- und Angemessenheits- bzw. Implementierungsprüfung) in der hier dargestellten Form kann nicht als Nachweis dafür gelten, dass Verstöße im Unternehmen vollständig verhindert werden. Zum einen arbeitet der CMS Prüfer in der Regel mit stichprobenartigen Prüfungen der identifizierten Prozesse und Maßnahmen. Zwar wird durch die bewusste und sorgfältige Bestimmung des Stichprobenumfangs eine hohe Wahrscheinlichkeit erzielt, jedoch liegt einer solchen Auswahl immer das Risiko zugrunde, dass Kontrollversagen in der gezogenen Stichprobe nicht identifiziert wird. Darüber hinaus scheitern alle internen Kontrollsysteme, und so auch das CMS, immanent im Falle des sog. „management override“, wenn durch Vorgesetzte eine eingerichtete Kontrolle durch Ausübung von Druck außer Kraft gesetzt wird. Zwar liefert gerade das CMS durch Instrumente wie das Hinweisgebersystem die Möglichkeit, diese Fälle anonym zu kommunizieren. Eine Umgehung ist dennoch nicht vollumfänglich auszuschließen.
131
Weiterhin stellt auch die Kollusion, d.h. das Zusammenwirken von zwei oder mehr Mitarbeitern im Unternehmen immer das Risiko dar, dass Kontrollen, wie z.B. das Vier-Augen-Prinzip, mit krimineller Energie nicht effektiv sind. Abschließend ist aus der geprüften Wirksamkeit des CMS innerhalb eines bestimmten Zeitraums nicht abzuleiten, ob es in der Vergangenheit (d.h. vor Beginn des Wirksamkeitszeitraums) sowie in der Zukunft (also nach Ende des Wirksamkeitszeitraums) auch wirksam war bzw. sein wird. Aus diesen Einschränkungen ist nicht abzuleiten, dass eine Wirksamkeitsprüfung zu keiner verwertbaren Aussage kommen kann: Der Prüfungsstandard selber weist in Tz. A12 („…auch ein ansonsten wirksames CMS unterliegt systemimmanenten Grenzen…“) und Tz. 18 („…sodass möglicherweise auch wesentliche Regelverstöße auftreten können, ohne systemseitig verhindert oder aufgedeckt zu werden…“) auf diese Begrenzungen hin. Somit ist das Vorliegen von Verstößen auch bei einem wirksamen CMS möglich und nicht per Definition ein Zeichen für dessen Versagen.
Anmerkungen
[1]
Vgl. IDW PS 980 Tz. 14.
[2]
Vgl. IDW PS 980 Tz. 15.
[3]
Vgl. IDW PS 980 Tz. A31.
[4]
PCAOB Auditing Standard 5 Tz. 42.
[5]
Rieder/Jerg CCZ 2010, 205.
[6]
Vgl. IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261) Tz. 61.
[7]
§ 23a der Satzung der Wirtschaftsprüferkammer über die Rechte und Pflichten bei der Ausübung der Berufe des Wirtschaftsprüfers und des vereidigten Buchprüfers (Berufssatzung für Wirtschaftsprüfer/vereidigte Buchprüfer – BS WP/vBP)
[8]
Vgl. IDW PS 980 Tz. 14.
[9]
PCAOB Auditing Standard 5 Tz. 44.
[10]
Vgl. IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261) Tz. 73.
[11]
Vgl. Gelhausen/Wermelt CCZ 2010, 209 f.
[12]
So durchgängig Withus/Hein CCZ 2011, 125 ff.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › V. Warum – Gründe für eine Prüfung
V. Warum – Gründe für eine Prüfung
132
Für die freiwillige Prüfung des CMS lassen sich verschiedene Gründe anführen:
– | Ein wesentlicher Grund ist die Vermeidung von straf- und zivilrechtlichen Konsequenzen für Organe und andere Mitarbeiter mit Garantenstellung[1] aus nicht regelkonformem Verhalten bzw. eine Verringerung des Risikos solcher Konsequenzen. Die Diskussion einer solchen „enthaftenden“ bzw. „haftungsreduzierenden“ Wirkung eines CMS wird seit einiger Zeit kontrovers geführt und soll hier nicht widergegeben werden.[2] Im folgenden Kapitel wird daher ausschließlich beleuchtet, welche Wirkung die Prüfung eines CMS auf die Haftungssituation haben kann. |
– | Daneben werden folgende weiteren Gründe bzw. Anlässe für die Prüfung eines CMS genannt:[3] – Die Geschäftsleitung möchte die Effektivität eines implementierten CMS überprüfen lassen. – Der Aufsichtsrat/Prüfungsausschuss überprüft im Rahmen seiner Pflichten nach § 107 Abs. 3 S. 2 AktG die Wirksamkeit des Internen Kontrollsystems und des Risikomanagements, was das CMS einschließt. – Es erfolgt eine Prüfung im Rahmen der Jahresabschlussprüfung, z.B. als durch den Aufsichtsrat/Prüfungsausschuss vorgegebene Prüfungserweiterung – Das CMS nach einem wesentlichen Compliance-Verstoß auf Schwachstellen überprüft werden. – Ein „Compliance Monitor“ wird nach einem durch US-Behörden geführten Strafverfahren eingesetzt und nimmt eine laufende Überprüfung des CMS für einen bestimmten Zeitraum vor. – Im Rahmen einer M&A-Transaktion wird eine Compliance Due Diligence durchgeführt. – Es erfolgt eine Kontrolle des vertraglich zugesicherten CMS bei Lieferanten/Kunden im Rahmen von entsprechenden Prüfungsrechten oder eine entsprechende Prüfung durch den Lieferanten/Kunden zum Nachweis eines entsprechenden CMS. – Das CMS soll für Nachhaltigkeitsinvestoren geprüft werden. |
Aufgrund der Flexibilität des Standards kann dieser grundsätzlich bei jedem der vorstehend aufgeführten Prüfungsanlässe zur Anwendung kommen.
Anmerkungen
[1]
Die Diskussion hierüber wurde durch das obiter dictum des 5. Strafsenats des BGH angefacht, der in seiner Entscheidung vom 17.7.2009 die Garantenstellung eines Compliance-Beauftragten mit entsprechender strafrechtlicher Relevanz (Unterlassen) behandelt hatte; 5 StR 394/08, in: AG 2009, S. 740.
[2]
Stellvertretend für viele: Rieder/Jerg CCZ 2010, 201 ff.; Böttcher NZG 2011, 1054 ff.; Gelhausen/Wermelt CCZ 2010, 208 ff.
[3]
Vgl. im Folgenden Forum Compliance & Integrity S. 1 und 7; Rieder/Jerg CCZ 2010, 202; Schefold ZRFC 2011, 221.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › VI. Rechtliche Bedeutung des IDW PS 980 für das Haftungsrecht
VI. Rechtliche Bedeutung des IDW PS 980 für das Haftungsrecht
133
Der IDW PS 980 kann auf zweifache Weise für das Haftungsrecht Relevanz entfalten.
Zum einen kann der Standard von Gerichten als Auslegungshilfe für CMS-Pflichten genutzt werden. Prüfungsstandards des IDW besitzen aufgrund der fachlichen Autorität insbesondere des letztverantwortlichen Hauptfachausschusses generell eine hohe faktische Bedeutung. Da der Standard nicht nur Vorgaben zur Prüfung selbst sondern auch zum Prüfungsgegenstand macht, wird er die gerichtliche Auslegung von einem CMS zugrundeliegenden Rechtsnormen nicht verdrängen, wohl aber beeinflussen.[1] Die Regelungen in § 76 Abs. 1 AktG (Leitung der Aktiengesellschaft durch den Vorstand), § 91 Abs. 2 AktG (Risikofrüherkennungssystem), § 93 Abs. 1 S. 2 AktG (Business Judgement Rule), § 161 AktG in Verbindung mit dem Deutschen Corporate Governance Kodex (DCGK) oder in § 130 OWiG (sog. Compliance-Bußgeldtatbestand) legen die erste Führungsebene des Unternehmens nicht darin fest, wie die zentrale Aufgabe der Sicherstellung eines gesetzes- und richtlinienkonformen Handelns zu gewährleisten ist.[2] Hier kann und wird der Standard herangezogen werden, um eine mögliche Lösung dieser Aufgabe zu skizzieren.
134
Zum anderen kann eine Prüfung nach dem Standard „enthaftend“ wirken. Organmitgliedern drohen zivilrechtliche Konsequenzen bei schuldhafter Verletzung ihrer Sorgfaltspflichten wie z.B. Schadensersatzansprüche aus § 93 Abs. 2 S. 1 AktG bzw. § 43 Abs. 2 GmbHG, die Abberufung aus der Organstellung sowie die Kündigung ihres Anstellungsvertrages.[3] Des Weiteren drohen dem Unternehmen Bußgeld und Gewinnabschöpfung, wenn gehörige Aufsichtsmaßnahmen zur Erschwerung oder Verhinderung von straf- oder bußgeldbewehrten Pflichtverletzungen unterlassen wurden (§§ 130, 30 OWiG). Und schließlich sei hier auf die Strafbarkeit durch Unterlassen bei Mitarbeitern mit Garantenstellung hingewiesen, die der BGH mit seinem obiter dictum 2009 betont hatte.[4] Damit eine Prüfung nach IDW PS 980 haftungsvermeidend respektive –reduzierend wirken kann, müssen folgende Bedingungen erfüllt sein:
– | Damit die Geschäftsleitung die Ausübung ihrer Überwachungspflicht für das CMS überhaupt (partiell) auf den Prüfer delegieren kann, müssen die allgemeinen Sorgfaltspflichten für eine vertikale Delegation erfüllt sein:[5] – Bei der Auswahl des Prüfers ist auf dessen persönliche und fachliche Eignung zur Erfüllung der zugedachten Aufgaben zu achten (cura in eligendo). Da ein betriebswirtschaftliches Prüfungsurteil, wie es nach dem IDW PS 980 abzugeben ist,[6] in rechtlicher Hinsicht von geringem Wert ist, muss die Hinzuziehung ausreichenden juristischen Sachverstands sichergestellt sein.[7] Es empfiehlt sich, bei der Auswahl des Prüfers diesen Punkt kritisch zu hinterfragen. – Die Einweisungs- oder Übertragungssorgfalt (cura in instruendo) verpflichtet die Geschäftsleitung, das CMS und dessen Besonderheiten klar zu erläutern und auf besondere Umstände wie bekannte Schwachstellen des CMS und wesentliche Regelverstöße hinzuweisen.[8] – Die Überwachungssorgfalt (cura in custodiendo) verpflichtet die Geschäftsleitung, den Prüfer und dessen Arbeitsergebnisse durch eine Plausibilitätsprüfung zu überwachen und ggf. weitere Aufklärung zu unklaren Punkten zu verlangen.[9] |
– | Eine Enthaftung ist nur bei einer Wirksamkeitsprüfung überhaupt denkbar; eine Konzeptionsprüfung oder eine Angemessenheitsprüfung alleine sind nicht geeignet.[10] |
– | Eine Enthaftung kann nur bei einem uneingeschränkten Prüfungsurteil in Frage kommen. Sofern der Prüfer wesentliche Mängel festgestellt hat, ist das Prüfungsurteil einzuschränken oder zu versagen.[11] Sofern die Geschäftsleitung die durch den Prüfer festgestellten Mängel nicht abstellt, kann sich u.U. hieraus sogar eine Haftungsbegründung ergeben. Insofern hat sich in der Praxis die Vorgehensweise bewährt, einen sogen. „Readiness Check“ vor der eigentlichen Prüfung durchzuführen, um vor Beginn der Prüfung klar erkennbare Mängel des CMS abzustellen. Treten während der Prüfung weitere Mängel zutage, die zu einer Einschränkung/ Versagung des Prüfungsurteils führen, sollte nach Beseitigung der Mängel durch die Geschäftsleitung eine ergänzende Prüfung über die Abstellung der Mängel bzw. eine Wiederholung der Prüfung beauftragt werden. |
– | Eine Enthaftung kommt nur für den Teilbereich des CMS in Frage, der durch die Prüfung auch abgedeckt wurde. Die Frage, ob die Systemprüfung[12] der sieben Grundelemente eines CMS auch Ausstrahlungswirkungen auf nicht geprüfte Teilgebiete entwickeln kann (kann z.B. die bei einer Festlegung auf das Teilgebiet „Antikorruptionsrecht“ ohne Beanstandungen geprüfte Compliance-Kultur eines Unternehmens auch auf andere Rechtsgebiete wie etwa Kartell- und Wettbewerbsrecht ausstrahlen?) muss jedenfalls sehr zurückhaltend beurteilt werden. |
135
Darüber, ob eine Prüfung des CMS nach dem IDW PS 980 im Straf- oder Bußgeldverfahren unter den vorstehend aufgeführten Voraussetzungen enthaftend wirken kann, bestehen unterschiedliche Meinungen. Von Withus/Hein wird vertreten, dass eine solche Prüfung bei der Führung des Nachweises helfen kann, dass in dem/den geprüften Teilgebiet(en) des CMS eine gehörige Aufsicht i.S.d. § 130 OWiG geführt wurde und dass ein zu beurteilender Gesetzes- oder Regelverstoß trotz und nicht wegen fehlender Aufsicht begangen werden konnte. Dann könnte das Gericht im Bußgeldverfahren u.U. ganz auf eine Sanktionierung des Verstoßes verzichten. Darüber hinaus könnte die Abstellung von in der Prüfung aufgedeckten Mängeln des CMS durch die Geschäftsleitung nach § 17 Abs. 3 OWiG und § 46 Abs. 2 Alternative 6 StGB als Vortat- oder Nachtatverhalten positiv gewürdigt werden und die Höhe der Geldbuße reduzieren helfen.[13] Noch weiter gehen Gelhausen/Wermelt, die unter den obenstehenden Bedingungen und unter der Voraussetzung, dass ein begangener Regelverstoß in dem durch die (Wirksamkeits-)Prüfung abgedeckten Zeitraum begangen wurde, einem uneingeschränkten IDW PS 980-Prüfungsurteil eine tatbestandsausschließende Wirkung zumessen.[14] Deutlich zurückhaltender ist Böttcher, der eine generelle Enthaftung durch die Befolgung des Standards auch bei Vorliegen der obigen Voraussetzungen verneint und einer Prüfung nach IDW PS 980 lediglich eine hilfreiche Wirkung bei der ansonsten anders zu führenden Exkulpation zuspricht.[15]
136
Im Zivilprozess gelten dieselben Voraussetzungen für eine enthaftende Wirkung wie im Straf- bzw. Bußgeldverfahren. Der Prüfungsbericht kann als Privatgutachten urkundenbeweislich ohne Zustimmung des Prozessgegners eingebracht werden und der Prüfer kann als sachverständiger Zeuge gehört werden. Bei Privatgutachten und Zeugenaussage liegt es dann bei der Gegenseite, den geführten Beweis zu entkräften.[16], [17]
137
Abschließend sei bemerkt, dass eine zivilrechtliche Haftungsverlagerung auf Wirtschaftsprüfer bzw. Rechtsanwälte als Prüfer des CMS gelegentlich in der Praxis als Argument für die Prüfung durch einen Berufsträger beobachtet werden kann. Generell gilt dann, dass zunächst Fehler und ihre Kausalität für Schäden feststellbar und nachweisbar sein müssen, was in der Praxis schwierig sein kann.[18] Die Verlagerung der zivilrechtlichen Haftung ist – bei allen Schwierigkeiten in der praktischen Durchsetzung – allerdings nicht völlig von der Hand zu weisen und wird z.B. in den USA expressis verbis vom American Law Institute als Möglichkeit genannt: „[. . .] it is essential that directors be able to rely on the advice of others when making their decisions, and not be faulted for reasonable decisions not to read lengthy legal documents or conduct a detailed cross-exmaniation of those whom they reasonably rely.“[19]
Anmerkungen
[1]
Vgl. Böttcher NZG 2011, 1056.
[2]
S. Hülsberg/Münzenberg Audit Committee Quartely II/2012, S. 17.
[3]
Vgl. Rieder/Jerg CCZ 2010, 202.
[4]
BGH 17.7.2009 – 5 StR 394/08.
[5]
Vgl. im Folgenden Hülsberg Sorgfaltspflichten bei Unternehmenserwerben, 2009, S. 65 m.w.N.
[6]
IDW PS 980 Tz. 24.
[7]
Vgl. Böttcher NZG 2011, 1057.
[8]
Hierzu wird der Wirtschaftsprüfer eine geeignete Vollständigkeitserklärung von der Geschäftsleitung einholen.
[9]
Vgl. Fleischer ZIP 2009, 1403 f.
[10]
Vgl. Böttcher NZG 2011, 1057. Diese Auffassung wurde in dem IDW-Workshop Anfang 2013 mit Compliance-Beauftragten, Juristen, Hochschulvertretern und Staatsanwälten bestätigt, wobei auch die Bedeutung der Angemessenheitsprüfung für die zukünftige Compliance betont wurde, da sich die Prüfung der Wirksamkeit naturgemäß auf die Vergangenheit bezieht.
[11]
IDW PS 980 Tz. 59 f.
[12]
IDW PS 980 Tz. 18.
[13]
Vgl. Withus/Hein CCZ 2011, 129 m.w.N.
[14]
Vgl. Gelhausen/Wermelt CCZ 2010, 209.
[15]
Vgl. Böttcher NZG 2011, 1057.
[16]
Vgl. Withus/Hein CCZ 2011, 130.
[17]
Bislang wurden keine Urteile veröffentlicht, die auf erfolgte (oder unterbliebene) Prüfungen des CMS nach dem IDW PS 980 Bezug genommen haben.
[18]
Ausführlich zur Haftung von Wirtschaftsprüfern und anderen Freiberuflern: Poll Die Haftung der Freien Berufe – Aspekte der Berufshaftung von Wirtschaftsprüfern und verwandten Professionen, abrufbar unter www.wpk.de/pdf/Poll.pdf.
[19]
Vgl. American Law Institute (Hrsg.) Principles of corporate governance: analysis and recommendations (1994), S. 394.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › VII. Prüfbereitschaft
VII. Prüfbereitschaft
1. Die CMS-Beschreibung als Prüfungsgrundlage
138
Der Prüfungsstandard definiert als Gegenstand einer Prüfung des CMS die in einer CMS-Beschreibung enthaltenen Aussagen über das CMS.[1] Die Verantwortung für die Erstellung liegt ausschließlich bei den gesetzlichen Vertretern. Damit ist die CMS-Beschreibung Grundlage der Prüfung und stellt analog zum Jahresabschluss in der Jahresabschlussprüfung das Objekt dar, auf das sich jede Aussage in der Berichterstattung und damit jede Prüfungshandlung des CMS-Prüfers bezieht. Die Beschreibung selbst muss unter Berücksichtigung der angewandten CMS-Grundsätze zunächst sämtliche Grundelemente adressieren und so darlegen, wie die Organisation die einzelnen Bestandteile prozessual und mit konkreten Maßnahmen besetzt bzw. umgesetzt hat.[2]
139
Damit ist der erste Schritt bei der Prüfungsvorbereitung grundsätzlich immer eine Bestandsaufnahme der eingerichteten Maßnahmen und Prozesse. Im Rahmen von Workshops und Interviews können die Compliance-Verantwortlichen sich eine Übersicht über den aktuellen Status der Umsetzung verschaffen. Dabei macht es Sinn, sich an den Grundelementen des IDW PS 980 zu orientieren und dann zu festzustellen, wie diese im Unternehmen zum Zeitpunkt der Bestandsaufnahme umgesetzt sind. Diese Inventur ist dann in der Regel Grundlage einer ersten Dokumentation des existierenden CMS in der Form einer CMS-Beschreibung.
140
Um eine objektive Darstellung und Überprüfbarkeit der hier enthaltenen Aussagen zu ermöglichen, sind entsprechende Anforderungen an die Abfassung der Beschreibung zu stellen. So muss die Sprache klar sein. Die einzelnen Aussagen dürfen keine Übertreibungen beinhalten oder Fehlinterpretationen zulassen. Darüber hinaus müssen sie so formuliert werden, dass sie im Rahmen der Prüfung belegbar und somit durch den CMS-Prüfer intersubjektiv nachprüfbar sind.
141
Nachdem der Prüfungsstandard nunmehr vor etwa fünf Jahren veröffentlicht wurde und Grundlage einer Vielzahl an Prüfungen war bzw. auch in der Form eines Ausgestaltungsstandards zum Aufbau von Compliance Management System diente, hat sich mittlerweile eine „good practice“ im Bezug auf die Form, Länge und Struktur der CMS-Beschreibung herausgebildet. Es ist aber bereits festzuhalten, dass die Beschreibung nicht in der Form eines allumfassenden Handbuchs erfolgen muss. Vielmehr spricht der Prüfungsstandard selbst von einer Darstellung mittels Verweis oder durch Aufzählung der Elemente. Es kann demnach nicht gefordert werden, dass die Beschreibung eine detaillierte Wiedergabe der Inhalte sämtlicher Elemente (z.B. Richtlinien, Merkblätter, Unterschriftenregelungen etc.) enthält. Im Sinn einer besseren Verständlichkeit und Nachvollziehbarkeit der Beschreibung ist es allerdings zielführend, mit kurzen Inhaltsangaben zu arbeiten. Der Prüfungsstandard fordert hier lediglich, dass eine CMS-Beschreibung eine Zusammenfassung der relevanten internen Verfahrensbeschreibungen enthält.[3] Mit Abschluss der Erstellung der CMS-Beschreibung ist dann der Prüfungsgegenstand erstellt.